次はあなたが被害に遭うかも?フィッシングメールに注意

プライバシー設定の画面をみている女性

近年、インターネットで多発している「フィッシング」の被害。偽サイトからクレジットカード番号やパスワードなど重要な個人情報を盗む詐欺として大きな問題となっています。フィッシングの手口は主に、メールから偽サイトに誘導するというもの。今回は「フィッシングメール」について、その正体や最近の傾向、対策を解説していきます。

偽サイトに誘導するフィッシングメール

日々大量に送り付けられてくるスパムメールに辟易している人は多いでしょう。こうした、受信者本人の承諾や意思とはお構いなしに、一方的に繰り返し送られてくるメールは「迷惑メール」とも呼ばれています。

送り主はたいてい、受信者とは仕事でもプライベートでも接点がない組織や店舗・人物であり、本来は受信者のメールアドレスを知らないはずです。しかし、世の中にはWeb上に公開されたアドレスを自動収集するツールやランダムで生成したアドレスへメールを送信し、実際に届いたものをリスト化していくといった仕組みが存在します。その上、そういったリストは迷惑メールの送信業者間で売買されてしまうこともあるようです。

スパムメールの内容や狙いは、クレジットカードやECサイト、ネット銀行のログイン情報の搾取、アダルト関係の販売・勧誘など多岐にわたります。なかでも十分な注意が必要とされるのが詐欺を目的とするメールです。そのようなメールは「フィッシングメール」と呼ばれ、近年も多発している手口の1つです。

攻撃者は実在する金融機関やショッピングサイトなどとそっくりの偽サイトを用意しておき、そこにユーザーを誘導して、ID/パスワードやクレジットカード番号など重要な個人情報を入力させ、盗み出します。盗まれれば当然、金銭的な被害やプライバシーの侵害など、あらゆる被害が想定されます。フィッシングメールとは、そのような偽サイトへ誘導するためのメールになります。

いたずらに不安をあおるメールには要注意!

年々フィッシングメールは、数も種類も指数関数的に増えており、手口も巧妙化しています。最近は、金融機関からのメールを装い、「第三者不正利用の可能性があります。本人の利用かどうか確認をお願いします」や「クレジットカードを確認してください」といった、一見すると不正利用への注意を促すかのようなメールに見せかけた文面で危機感をあおることもあるようです。ショッピングサイト系を装ったものであれば、「お支払い情報の内容を更新してください」などと通達し、クレジットカード情報の入力を促すものも存在します。

他にも有名な運送業者や各種会員サイトなどを装う文面も多く使われています。いずれも「警告、緊急」、「アカウントに異常があります」、「不正なログインを検知しました」「不正なアクティビティが検知されました」など、利用者の不安につけこむ語句を並べているのが共通した特徴です。ほかにも、「~に当選しました!」といった射幸心をあおる内容もあります。さらには、このコロナ禍に乗じて、「第2回持続化給付金申請案内」や「マスクを無料送付」といった内容も見られます。

フィッシングメールは文面に加え、本物と同じロゴの画像を埋め込むのも常套手段です。加えて、差出人のメールアドレスや誘導先のURLは、実在する企業のドメインと一文字だけ異なるなど、一瞬本物と見まごうものに偽装していることがあり、実に巧妙です。加えて、誘導先のWebページも、本来の企業ホームページと見た目がそっくりに作られています。また、メール以外にもSNS、SMS(ショートメール)、掲示板などから誘導する手口もあります。

被害を未然に防止!メール記載のURLはむやみにクリックしない

フィッシング対策の基本は、メールの文面記載のURLをむやみにクリックしてアクセスしないことです。自分が普段利用している金融機関やショッピングサイトなどのWebサイトはあらかじめ、通知された正しいURLをWebブラウザ上にブックマークしておきます。ログインする必要があれば、常にそのブックマークからアクセスする習慣を身につけておけば、偽サイトへ誘導されてしまうことを大幅に防げるでしょう。

もし、フィッシングメールに記載のURLをクリックしてしまっても、既知の偽サイトなら、Webブラウザのセキュリティ機能が働き、「偽のサイトにアクセスしようとしています」と警告を出し、自動でブロックしてくれる場合もあります。とはいえ、未知の偽サイトだと判別できない可能性もあるので、むやみにクリックしないことが大切です。

例えば、うっかり実在するクレジットカード会社の偽サイトにアクセスし、何かしら個人情報を入力してしまったら、すぐさま本物の事業者に連絡して、利用をいったん停止してもらい、被害を最小限に抑えます。その後はカードの再発行など、事業者の案内に従ってしかるべき処置を進めます。

他にも対策としては、フィッシングメールを受信しないよう、メールソフトのフィルター機能を有効にしておく、メールサーバー側での受信拒否設定からブロックする手段などがあります。もっとも、現実的には100%ブロックできる手段は存在しないため、過信は禁物です。

フィッシングメールは日々新たな手口が登場し、イタチごっこである面は否めません。一度対策したら安心するのではなく、多角的かつ継続的に注意を払うことが肝要でしょう。

 

<あわせて読みたい!>いま一度考えるセキュリティとその対策

筆者
Tomohiro Adachi
Content Marketing Manager
公開